Một dòng mã độc mới vừa được phát hiện có khả năng kết hợp mã từ ít nhất ba phần mềm độc hại đã biết trước đây để nhắm mục tiêu đến các thiết bị IoT (Internet of Things).
Mã độc này được gọi là Mozi bởi các nhà nghiên cứu tại CenturyLink.
Theo đó, các thiết bị bị nhiễm Mozi đang được tập hợp lại thành một mạng botnet IoT mà có thể được sử dụng để khởi chạy các cuộc tấn công từ chối dịch vụ phân tán (DDoS), trích xuất dữ liệu và cài payload. Tuy nhiên, vẫn chưa rõ liệu botnet đã được sử dụng để thực hiện bất kỳ cuộc tấn công nào hay chưa.
Mozi bao gồm mã nguồn của Gafgyt, Mirai và IoT Reaper, tất cả đều là các dòng mã độc nhắm vào thiết bị IoT. Giống như các mã độc IoT trước đó, Mozi chủ yếu nhắm vào các bộ định tuyến và DVR gia đình không được cập nhật bản vá lỗ hổng, hoặc đặt mật khẩu telnet yếu, mật khẩu mặc định. Về mặt kỹ thuật, mã độc có thể xâm nhập bất kỳ thiết bị Linux có giao thức telnet không được bảo mật.
Trong khi các botnet được tạo thành từ Mirai và Gafgyt có hạ tầng kiểm soát và điều khiển tập trung, các thiết bị nhiễm Mozi được kết hợp với nhau để tạo thành một mạng botnet ngang hàng (P2P). Do đó, botnet Mozi khó bị gỡ bỏ hoàn toàn.
“Với chức năng kiểm soát và điều khiển của một botnet được tập trung tại một hoặc một vài máy chủ, botnet có thể được gỡ bỏ bằng cách nhắm vào các server này. Tuy nhiên, với một mạng botnet ngang hàng, không có một hoặc một vài server đơn lẻ nào có thể được gỡ bỏ để loại bỏ hoàn toàn botnet”, theo Michael Benjamin, người đứng đầu Black Lotus Labs tại CenturyLink.
Mozi trở thành mối đe dọa cho các doanh nghiệp vì khả năng phục hồi của nó, nhóm thiết bị rộng lớn mà nó có thể lây nhiễm và khả năng thực hiện các cuộc tấn công DDoS, trích xuất dữ liệu và thực thi mã từ xa.
CenturyLink phát hiện Mozi vào tháng 12 khi điều tra hoạt động được nghi ngờ có liên quan đến IoT Reaper. Phần mềm độc hại này ban đầu được xác định nhầm là một biến thể của Mirai, Gafgyt và IoT Reaper vì có chứa mã nguồn của chúng.
Bắt đầu chỉ với một số ít máy chủ bị xâm nhập, botnet Mozi đã tăng lên khoảng 2.200 node vào tháng 2 trước khi giảm dần về số lượng. CenturyLink ước tính trong bốn tháng qua, mã độc đã tấn công khoảng 15.850 thiết bị IoT ở nhiều quốc gia.
Theo CenturyLink, các node bị xâm nhập sử dụng bảng băm phân tán (DHT) để liên lạc với các hệ thống máy chủ bị ảnh hưởng khác. Trong trường hợp này, giao thức đã cho phép kẻ đứng sau Mozi kiểm soát botnet mà không cần hạ tầng kiểm soát và điều khiển tập trung.
Hơn 7 trong số 10 máy chủ bị nhiễm Mozi mà CenturyLink đã quan sát cho đến nay đều có trụ sở tại Trung Quốc. Các quốc gia có số lượng máy chủ bị nhiễm cao thứ hai là Mỹ và Ấn Độ, cả hai đều chiếm 10% thiết bị bị nhiễm. Ngoài ra còn có Hàn Quốc, Brazil và Nga, nhưng số lượng nhỏ hơn đáng kể.
Khi các cuộc tấn công DdoS dựa trên Mirai lần đầu tiên xuất hiện vào năm 2016, đã có lo ngại đáng kể về việc các botnet IoT có thể sớm trở thành vũ khí chính của tin tặc. Người ta sợ rằng những kẻ tấn công sẽ khai thác các thiết bị IoT gia đình có cấu hình kém và dễ bị tổn thương để xây dựng các botnet lớn nhằm khởi động các cuộc tấn công DDoS và các cuộc tấn công khác vào các tổ chức doanh nghiệp.
Lý do tại sao điều đó chưa hoàn toàn xảy ra là vì có quá nhiều kẻ xấu đang cố gắng khai thác các thiết bị IoT cùng một lúc. Vì vậy, nhóm thiết bị có sẵn trở nên tương đối nhỏ so với khi Mirai xuất hiện.
Ngoài ra, các nhà sản xuất thiết bị và người dùng cũng đã có ý thức hơn trong việc bảo vệ bộ định tuyến, DVR và các thiết bị thông minh khác.
